denisismagilov - Fotolia
Les outils d’EDR vont passer l’examen
Le Mitre cherche à évaluer les solutions de détection et de remédiation sur les postes de travail et les serveurs, en s’appuyant sur sa base de connaissance des méthodes des attaquants. Les éditeurs volontaires ont jusqu’au 13 avril pour se manifester.
Dans son principe, l’initiative séduit déjà. Loin des considérations de parts de marché ou d’éventail fonctionnel affiché, le Mitre entend confronterà la réalité les solutions de détection et de remédiation sur les points de terminaison (EDR). Dans un communiqué de presse, l’entreprise explique vouloir mettre en place une « évaluation impartiale » pour « aider les entreprises et l’industrie à prendre de meilleures décisions pour contrer les attaques ».
Car il ne s’agit pas d’une évaluation sans fondement sérieux : le Mitre entend s’appuyer sur sa base de connaissance ATT&CK. Ouverte au public, elle fait un inventaire des tactiques et des techniques mises en œuvre par les attaquants, jusqu’aux plus avancés d’entre eux. Elle s’alimente auprès des travaux d’éditeurs, d’équipementiers, mais également d’institutions publiques et de chercheurs.
Les évaluations ne se feront pas en une seule fois. Le Mitre indique ainsi prévoir une première tournée basée sur une émulation du groupe APT3/Gothic Panda. Ce dernier s’intéresserait tout particulièrement aux secteurs de la défense, de l’aérospatiale, de la construction, ou encore de l’ingénierie. Ses activités sont documentées depuis 2012. En mai 2017, Recorded Future assurait que le ministère chinois de la sécurité nationale se cachait derrière ce groupe.
L’initiative du Mitre apparaît d’autant plus pertinente que le marché de l’EDR est en pleine effervescence. S’il s’agit avant tout de gagner en visibilité pour détecter les attaques, la convergence entre EDR et protection des points de terminaison (EPP)est en marche. Kasperskyet Bitdefender, spécialistes de ce dernier domaine, viennent d’ailleurs de s’inviter récemment sur le marché de l’EDR.
Sur Twitter, Matthieu Garin, de Wavestone, n’a pas manqué de saluerla démarche du Mitre, espérant voir tous les éditeurs de solutions d’EDR se joindre à l’opération. Dmitri Alperovitch, co-fondateur et directeur technique de CrowdStrike, nous a confirmé son intention de participer à l’évaluation. Les éditeurs volontaires ont jusqu’au 13 avril pour se manifester.
